人脸识别技术风险的法律规制

2022-11-21张依桐

法制博览 2022年6期

张依桐

沈阳师范大学，辽宁沈阳 110034

一、人脸识别技术的性质

人脸识别是基于人脸特征信息的生物测定技术的一种，是通常使用监控或摄像机，把人脸收集整合为图像或视频的数据流，进而对自动检测到的图像进行跟踪，从而识别检测到的人脸信息的一系列相关技术。它具有非接触性、不可更改等特征，使人脸识别技术与其他生物信息相区别。

二、人脸识别技术存在的风险

（一）人脸识别技术固有的技术风险

人脸识别具有精确度低、受环境影响大、稳定性低的特征。

在各项生物识别技术中，人脸识别相比指纹、虹膜等准确度低，人的面部所包括的生物特征信息量和其他生物信息相比较少。例如，采取两个人的指纹或虹膜特征与人脸信息进行对比，更准确反映个人信息的往往是指纹与虹膜。据科学研究保守估计，人脸识别技术准确率能达到99%，但没有达到100%。尤其是双胞胎等面目特征几乎一模一样的人，由于相似特征太多，人脸识别很容易出现混淆。对人脸进行拍照检测是进行人脸识别的第一步，首先是确定出现在镜头下的人脸，当镜头下的场景背景比较复杂时，人脸检测准确率也会大幅降低，故人脸识别技术需要攻克的难点之一就是在复杂环境下也要准确地对人脸进行识别捕捉。其次，光线等条件会随着场景变化而变化，其条件是多变而复杂的，在人脸识别中光照影响尤为突出。在现实人脸识别的运用中，镜头下光线变化会对采集到的人脸图像的质量产生重大影响。

（二）人脸识别技术特性导致的社会风险

首先，人脸信息的采集不需要被采集人的同意，并不具有强制性，也无需进行身体上的接触。人脸、声纹、步态等大多数生物信息都可以通过隔空捕捉和网络爬取数据等方法绕过个人知情同意而取得，无需经信息所有人授权或超出用户明确许可的收集目的范围。［1］人脸信息只需要有摄像头、监控等设备就可以对其进行采集，被采集者甚至有时并不知道自己的人脸信息已经被采集。其次人脸信息被侵犯后的伤害是不可逆转的。人脸信息属于个人生物识别信息，与传统个人信息不同，承载了人的心理情况、文化背景、消费记录，并且人脸信息是不能被频繁换用的，传统的个人信息如号码等，泄露后可以通过更改来达到停止侵害的效果，但人的相貌骨骼是不能轻易更改的。人脸识别的广泛应用还会让社会产生信任危机，人脸识别技术的发展延展了公众认知世界的方式，但这种延展带来了社会信任危机，消弭了社会共同体之间的信任。刷脸、换脸等技术使得人像真实性问题成为信息传播中的关键问题，传统的根据人脸进行社会身份识别的模式被现有科技拓展为识别-认证模式，身份信息的可破解性和非真实性使得人际交往之间的欺诈现象丛生，信任关系难以确立，从而危害社会秩序的稳定和产生共同体的信任危机。［2］并且人脸识别技术具有被攻克的可能，随着科技发展，换脸技术依托于人脸识别技术的基础也发展了起来。例如，AI换脸就是在人工智能的基础上发展起来的，仅仅通过带有人脸的照片，就可以实现“换头”，而且面部表情生动活泼，足以以假乱真，现如今互联网上难以分辨的“换头”视频让人脸识别技术步入了“替换”的道路。例如2019年国内某公司推出的AI换脸应用“ZAO”就引起网民的换脸热潮.在人脸识别得到普及推广使用的同时，清华大学RealAI团队爆出其“易破解”安全隐患，由此可见人脸识别“易破解”主要面临如下一些潜在的技术挑战。［3］而且据有关研究表明，随着3D打印技术的发展，人脸识别技术很有可能被攻克。

三、国内人脸识别法律规制的不足

当前人脸识别技术应用领域的相关法律并没有形成体系，我国并没有对人脸识别进行专门性的立法，有关它的法律分布在《民法典》《网络安全法》等相关的法律法规当中，没有形成完备的体系，有大量有待完善之处。并且如今并没有成立专门针对人脸识别技术进行管控的行政部门，导致缺少具有强制执行力的行政机关。人脸识别还具有非接触性，使其信息收集具有隐蔽性，被采集者往往在无法察觉的情况下就被监控等设备采集了人脸信息，虽然我国法律法规规定，采集者应履行具备同意、公开等相应的义务，但如今对人脸识别等生物信息进行管理的行政机关，往往具有被动性。当前人脸识别法律规制的不足具体有以下几点。

（一）法律缺少针对人脸识别技术运用的安全标准

如今的法律缺少专门针对人脸识别技术运用的安全标准，没有明确使用人脸识别技术和相关人脸信息的企业、单位等的责任与义务。在法律法规中对企业采集、储存、商业使用人脸信息应该采取的程序与标准也没有明确的规定，并且储存人脸识别信息的企业、服务提供者等，安全措施不到位可能会导致信息泄露。故应该规定相关企业具有一定的应对网络攻击的能力，如成立网络安全保护部等，防止因为网络攻击导致储存的人脸信息丢失，造成公众受到侵害。

（二）缺少专门的监管机关

当前我国没有针对人脸识别设立专门的监管机构，通常是各个具有行政职权的机关，依据自己的职能对侵权行为进行监管，这可能会导致行政权能的分散，使强制力降低，不能起到快速及时的监管。并且，现如今拥有个人信息管理职能的部门通常具有滞后性，只有当人脸信息被侵犯后，才会进行管控。因为人脸识别技术在使用过程中出现的危险是不可预测的，这些难以预料的危险会引发严重或不可逆的损害，因此，我们应该采取积极的手段进行预防，杜绝其危害的产生，而不是在侵害已经产生后才采取措施。并且侵犯人脸信息往往不需要与被采集者进行接触，且成本较低，往往仅仅需要少量监控设施，这样巨大的收入与低廉的违法成本，会使对人脸信息的侵犯变本加厉。故需要一个专门的监管机关在收集信息之前，对其进行监管和主动检察。

（三）法律未规定相应的救济途径

在采集人脸信息的过程中往往不需要进行接触，导致其侵权行为具有隐蔽性，被采集者通常不知道自己的人脸信息泄露的时间和地点以及侵犯者信息。这对证据的获得造成了阻碍，并且人脸信息一般储存在各个公司内部，受害者无法获取公司内部储存人脸信息的状态及其是否泄露的证据。且救济途径单一，往往只能通过诉讼方式进行维权，被侵害者通常为个人，收集证据的高成本往往使其难以承担，这使被侵权者无法找到最高效、便捷的救济途径，难以维护自身合法权益。

四、完善人脸识别技术法律规制的建议

（一）人脸识别立法要进行分层规制

根据人脸识别技术的特点，笔者认为对其立法要进行分层规制，根据不同的场景、不同的用途进行分别立法。首先是根据使用目的来说，分出公共利益进行使用、商业用途进行使用等。我们需要对商业用途使用进行更加严格的立法，对相关企业的有关人脸识别技术条件与标准进行严格限制。其次是从使用主体方面进行规制，如给公权力机关为公共利益使用人脸识别技术与私人企业为商业利益使用人脸识别技术制定不同的前置性条件，反映出不同主体下的法律关系侧重，进而区分不同公私使用者的不同规制标准。

（二）制定比收集其他生物信息更为严格的法律规制

人脸识别具有非接触性、非强制性的特点。人脸识别无需像指纹识别、虹膜识别一般需要被识别者主动去进行检测，并且用户不需要专门配合人脸采集设备，几乎可以在无意识的状态下就可获取人脸图像。这就使人脸信息较其他生物信息更容易被偷偷获取，而其他生物信息的采集就不具有这一特点。针对人脸识别的特殊性，立法应制定比收集其他生物信息更为严格的法律规制，除了用于国家侦查等特殊用途，法律应规定采集用户人脸信息必须征得被采集者的同意，实体商家应对被采集者进行书面通知并征得同意，互联网行业则需单独进行协议，不得出现在不易被用户发觉的隐蔽处进行通知。此外就采集者被采集信息的目的、储存方式、保存时间等内容必须进行通知。

（三）促进个人生物识别信息保护法的建立与完善

现有的法律在个人信息保护方面的立法包括《民法典》《网络安全法》等多部法律，但并没有对个人信息保护方面做具体的规定，《个人信息保护法（草案）》对个人信息的保护做了规定，但并未对人脸识别信息做专门规定，故应该对人脸识别信息的收集、处理、保存做专门立法，促进个人生物识别信息保护法的建立与完善。形成专门的有关生物信息保护法律，完善其法律体系，对人脸信息的定义与保护途径等进行详细立法。使被侵权者在受到侵犯后可以依法维护自身合法权益。

（四）增加人脸识别侵权救济途径

针对人脸识别举证困难的情况，我国应该增加人脸识别侵权的救济途径，首先公权力机关应发挥协助作用。在公民提供初步证据，核查证据的真实性、合法性后，根据证据指向，向有关企业、单位提出收集证据的意见，促使相关企业积极配合。其次，在被侵权人提出诉讼后，因为被侵权人的弱势地位，为保护其合法权益，应该让对方进行举证，证明其对此不负责任。最后，国家应鼓励建立相关的机构，为被侵犯人提供服务，帮助其进行维权。

（五）完善人脸识别信息的保护监管体系

设置政府监管机构是完善个人生物识别信息应用风险监管主体制度的核心。一方面，其代表着国家，有强制力作为支撑，因而具有权威性；另一方面，其具有代表性与民主正当性，因而能够对不同利益主体进行协调，具有公开性与透明性。［4］在个人生物识别信息监管机构的组织形式上，各国大多设置了统一、独立的行政监管机构。如美国伊利诺伊州通过《生物识别信息隐私法案》设置了生物识别信息隐私调查委员会，英国则设置了人脸识别应用监督和咨询委员会。有的国家设立了独立的个人信息监管机构，其中包含对个人生物识别信息的监管，比如瑞典设置了数据保护局，日本设置了个人信息保护委员会等。［5］在我国通常为各个部门分散实行人脸识别监管职权，我国还没有建立起完整的人脸识别信息监管体系，由于可以行使监管公权力的机关过多，缺少统一专业的监管机关，就存在相互推诿等情况。因此，国家应该设立统一的人脸识别信息监管部门，完善人脸信息监管保护体系，主动进行执法，在产生可能造成人脸信息泄露危机前进行事先审查，将危险遏制在萌芽中。并且需要培养适应现代大数据时代的执法人员，培养其专业素养与服务意识，使其更好地行使监管职能。

（六）制定有关人脸识别的行业标准

人脸识别技术产业作为高新产业，随着互联网大数据时代的发展而发展，但是与其相对应的是行业内企业良莠不齐，不少并没有达到可以收集存储人脸信息标准的企业、单位等也进入行业，使行业中低质量企业过多，对此状况，国家应通过法律、法规和规章等对行业进行规制，建立最低准入标准，对想要进入人脸识别行业的企业进行资金、技术方面的核查。减少行业内的低质量企业，更好地保护公众的信息安全。此外应建立相关行业协会，建立人脸识别技术行业标准，改善行业内部结构。通过行业内自行监督，减少对人脸信息的侵权行为。